# WikiLoader > [!high] Loader multi-componente sofisticado (também conhecido como WailingCrab) que entrega o trojan bancário Gozi via campanhas de e-mail temáticas de entrega e frete, utilizando injeção em explorer.exe, DLL hijacking e protocolo MQTT para comunicação C2 furtiva. ## Descrição WikiLoader, também rastreado como WailingCrab pela IBM X-Force, é um loader multi-componente de sofisticação elevada observado pela primeira vez em dezembro de 2022 e documentado públicamente pela Proofpoint em agosto de 2023. Desenvolvido e operado pelo grupo Hive0133 - que se sobrepõe com o ator TA544 (também rastreado como Bamboo Spider e Zeus Panda) - o WikiLoader foi projetado com foco explícito em evasão de análise, incorporando múltiplas camadas de anti-sandbox, anti-debug e técnicas de ofuscação que evoluíram rapidamente ao longo das campanhas documentadas. A arquitetura do WikiLoader consiste em quatro componentes sequenciais: um **loader** que executa shellcode de segundo estágio; um **injector** que localiza o processo-alvo (tipicamente `explorer.exe`) via hash de nome de processo, detecta processos de sandbox e sobrescreve 12 bytes de função em `ntdll.dll` com código trampoline para injetar o payload; um **downloader** que em versões antigas buscava o backdoor no Discord CDN e em versões recentes contém o backdoor pré-criptografado com AES, baixando apenas a chave de descriptografia do C2; e um **backdoor** que instala persistência e realiza beacon ao servidor de controle. A persistência é estabelecida via DLL hijacking: o backdoor cria subdiretório aleatório em `%AppData%` ou `%ProgramData%`, copia múltiplos arquivos e estabelece chave no registro Run key apontando para `printfilterpipelinesvc.exe` renomeado, que carrega `version.dll` maliciosa via DLL hijacking. A comunicação C2 evoluiu de Discord CDN para sites legítimos hackeados para um destaque técnico único: **protocolo MQTT (Message Queuing Telemetry Transport)**, projetado para dispositivos IoT, gerando tópicos C2 baseados em três strings de 16 dígitos - tornando o tráfego de C2 indistinguível de tráfego IoT legítimo em análises superficiais. As campanhas documentadas focam em organizações italianas com lures de entrega e frete (faturas atrasadas, aviso de encomenda), distribuindo o trojan bancário **Gozi (Ursnif)** como payload final. Campanhas mais recentes expandiram o alcance geográfico globalmente e foram observadas utilizando SEO poisoning com spoofing do software GlobalProtect VPN da Palo Alto para distribuição de variantes do WikiLoader. ## Técnicas Utilizadas - [[t1566-001-spearphishing-attachment|T1566.001 - Spearphishing Attachment]] - e-mails com PDFs e lures de entrega/frete contendo URLs maliciosas - [[t1203-exploitation-for-client-execution|T1203 - Exploitation for Client Execution]] - execução de JavaScript malicioso baixado via URL embutida em PDF - [[t1140-deobfuscate-decode|T1140 - Deobfuscate/Decode Files or Information]] - descriptografia AES do payload backdoor com chave obtida do C2 - [[t1055-process-injection|T1055 - Process Injection]] - injeção em `explorer.exe` via hook de função ntdll com trampoline de 12 bytes - [[t1497-virtualization-sandbox-evasion|T1497 - Virtualization/Sandbox Evasion]] - detecção de processos de sandbox via hash matching antes da injeção - [[t1547-001-registry-run-keys|T1547.001 - Registry Run Keys]] - persistência via chave Run apontando para executável renomeado - [[t1574-001-dll-search-order-hijacking|T1574.001 - DLL Search Order Hijacking]] - `version.dll` maliciosa carregada via `printfilterpipelinesvc.exe` - [[t1071-004-dns|T1071.004 - Application Layer Protocol: DNS]] - uso do protocolo MQTT (porta 1883/8883) para comunicação C2 furtiva ## Grupos que Usam - [[ta544|TA544]] (Bamboo Spider / Zeus Panda) - grupo principal operando o WikiLoader, rastreado pela Proofpoint e IBM como Hive0133, com foco histórico em campanhas italianas para distribuição do Gozi bancário ## Detecção **Monitoramento de injeção em explorer.exe:** Detectar modificações em funções de `ntdll.dll` (especialmente `RtlWow64GetCurrentMachine`) por processos não-sistema é indicador de alta confiança de comprometimento por WikiLoader. Ferramentas EDR com monitoramento de integridade de memória e hooks do ntdll devem ser configuradas para alertar sobre este padrão. **DLL hijacking e persistência:** Monitorar carregamento de `version.dll` por `printfilterpipelinesvc.exe` em caminhos não padrão (`%AppData%`, `%ProgramData%`). Alertar para criação de chaves Run Registry apontando para executáveis renomeados em diretórios de dados de usuário - padrão típico desta família. **Comúnicação MQTT:** Bloquear ou monitorar tráfego nas portas 1883 e 8883 (MQTT padrão) originado de estações de trabalho, especialmente para destinos externos. O uso de MQTT em endpoints corporativos é incomum e deve ser tratado como anomalia de alto risco. Regras Zeek/Suricata para detecção de protocolo MQTT em tráfego de saída são recomendadas. **Lures de entrega/frete:** Implementar sandboxing automático para e-mails contendo PDFs com URLs incorporadas de domínios não catalogados, especialmente em contextos de fatura, entrega e frete. Regras de detecção de SEO poisoning para termos relacionados a VPN GlobalProtect em páginas de download devem ser implementadas em proxies web. ## Relevância LATAM/Brasil Embora o WikiLoader tenha sido identificado inicialmente em campanhas focadas na Itália, a expansão documentada para alvos globais e o uso de vetores como SEO poisoning e spoofing de software VPN amplamente utilizado (GlobalProtect) aumentam o risco para organizações brasileiras. O Brasil possui grande base de usuários de software VPN corporativo e alta incidência de downloads de software por canais não oficiais - ambiente favorável para os vetores de distribuição do WikiLoader. O payload final Gozi é um trojan bancário com histórico de adaptações para o ecossistema bancário brasileiro, tornando a combinação WikiLoader + Gozi relevante para o setor [[financial|financeiro]] nacional. Organizações brasileiras que operam filiais ou parceiros na Itália ou Europa são alvos potenciais das campanhas geograficamente focadas do TA544. ## Referências - [IBM X-Force - WailingCrab Malware Misues MQTT Messaging Protocol](https://www.ibm.com/think/x-force/wailingcrab-malware-misues-mqtt-messaging-protocol) - [Unit 42 - GlobalProtect VPN Spoof Distributes WikiLoader](https://unit42.paloaltonetworks.com/global-protect-vpn-spoof-distributes-wikiloader/) - [Malpedia - WikiLoader](https://malpedia.caad.fkie.fraunhofer.de/details/win.wikiloader) - [The Hacker News - New WailingCrab Malware Loader](https://thehackernews.com/2023/11/alert-new-wailingcrab-malware-loader.html) - [Broadcom - WailingCrab WikiLoader Variant](https://www.broadcom.com/support/security-center/protection-bulletin/wailingcrab-a-wikiloader-variant-exploiting-vpn-spoofs)